web-dev-qa-db-ja.com

所有者がネットワーク共有のアクセス許可を変更できないようにする

sMB/CIFS共有が構成されたSunStorage Appliance(7110)があります。 ActiveDirectoryに参加しています。私が達成しようとしているのは、通常のドメインユーザー(組み込みのADグループ)は、ファイルとフォルダーを変更する権限を持つドライブへのアクセス権を持っている必要がありますが、アクセス許可は変更しないでください(ユーザーは管理者を含むフォルダーから他のすべてのユーザーをロックアウトできるため) )。 ADグループ「Storage_Admins」のユーザーは、ドライブを完全に制御できる必要があります。ユーザー権限を構成するには、共有レベルACLとルートディレクトリACLの2つの場所があります。私の知る限り、ベストプラクティスは、共有レベルですべてのユーザーにフルコントロールを付与し、ルートディレクトリACLで他のすべてを実行することですが、この方法では機能しません。私がこれまでにしたこと:

  • 共有レベル:全員-フルコントロールルートディレクトリ:Storage_Admins-フルコントロール/ドメインユーザー-変更結果:ドメインユーザーは、作成したフォルダーのアクセス許可を変更できますが、ルートフォルダーでは変更できません

  • 共有レベル:全員-変更ルートディレクトリ:Storage_Admins-フルコントロール/ドメインユーザー-変更結果:ドメインユーザーはフォルダーのアクセス許可を変更できませんが、管理者も変更できません。ドメインユーザーは、フォルダーの名前を変更したり、フォルダーを削除したりすることはできません。

  • 共有レベル:全員-Modify/Storage_Admins-フルコントロールルートディレクトリ: Storage_Admins-フルコントロール/ドメインユーザー-変更結果:ドメインユーザーはフォルダーのアクセス許可を変更できませんが、管理者も変更できません。ドメインユーザーは、フォルダーの名前を変更したり、フォルダーを削除したりすることはできません。

Technet に関する記事を読んで、これを見つけました:

所有者には、他のユーザーにオブジェクトの使用許可を許可または拒否する暗黙の権利があり、この権利を取り消すことはできません。

それがまさに問題だと思います。ユーザーがフォルダーを作成した場合、そのユーザーは所有者であり、そのフォルダーのアクセス許可を変更できます。それで、とにかくこの振る舞いを防ぐ方法はありますか?ネットワークドライブのアクセス許可を構成するためのベストプラクティスは何ですか?所有権を奪うことは選択肢ではありません。それ以降は、誰がどのファイルを作成したかを誰も理解できないためです。前もって感謝します。

更新:

  • 共有レベル:全員-変更ルートディレクトリ:Storage_Admins-フルコントロール/ドメインユーザー-変更

これは、通常のWindowsマシンでフォルダーを共有している場合に機能します。この設定でWinXPマシンのフォルダを共有しました。ドメインユーザーは、アクセス許可とStorage_Adminsグループのメンバー以外のすべてをフルコントロールアクセスで変更できるようになりました(まさに私が望むものです)。したがって、この問題:

結果:ドメインユーザーはフォルダーのアクセス許可を変更できませんが、管理者も変更できません。ドメインユーザーは、フォルダーの名前を変更したり、フォルダーを削除したりすることはできません。

明らかにSunアプライアンスに関連しています。アプライアンス自体の継承動作などのようなもの。調べてみます。

2
duenni

明らかにSunアプライアンスに関連しています。アプライアンス自体の継承動作などのようなもの。調べてみます。

いいえ、それがWindowsACLの仕組みです。所有者は、常にオブジェクトのACLを変更できます。 「Everyone:Modify」権限のみを許可する共有を使用すると、共有コンテンツでこれを防ぐことができます。これにより、共有レベルで変更ACL要求が「除外」されます。管理者がACLを変更できるようにする場合は、共有権限に「Storage Admins:FullControl」を追加するだけです。

2
the-wabbit